Hackers roubam dados de empresa de testes genéticos 23andMe

Ataque reaproveitou senhas de outros vazamentos para invadir contas em massa. Dados de material genético não foram afetados.

Giovanni Santa Rosa

A 23andMe é uma empresa que realiza testes genéticos para apontar a ancestralidade e possíveis problemas de saúde dos clientes. A companhia confirmou que foi vítima de um ataque de criminosos, que roubaram milhões de dados de usuários.

As informações incluem nome, sexo, ano de nascimento, origem estimada (que diz que uma pessoa é de origem “europeia” ou “árabe”, por exemplo, sem mais detalhes), fenótipos, informações de saúde, fotos e dados de identificação. Os dados genéticos “crus” aparentemente não estão na lista.

Os dados estão sendo vendidos em fóruns online. O preço varia entre US$ 1 e US$ 10 por conta, dependendo da quantidade comprada.

Alguns grupos se destacam em meio ao vazamento. Há mais de um milhão de dados de judeus asquenazes (comunidade judaica) da Europa Central e do Leste Europeu, e centenas de milhares de dados de indivíduos de origem chinesa. Ainda não se sabe se os atacantes tinham como alvo esses grupos.

Pessoas famosas também constam na lista. Mark Zuckerberg, Elon Musk e Sergey Brin estão entre as celebridades que apareceram à venda em fóruns.

Não se sabe, porém, se os dados são legítimos. Musk e Brin, por exemplo, têm os mesmos IDs de conta e perfil, o que sugere que as informações são falsas.

Hackers usaram senhas de outros vazamentos

Segundo a empresa, os dados foram raspados de seu sistema. Isso significa que os hackers teriam invadido contas individuais e extraído pequenas porções de informações, para depois remontá-las como uma base única.

O ataque aproveitou a função “DNA Relatives” (ou “familiares de DNA”, em tradução livre), que permite que os clientes compartilhem seus dados com outras pessoas.

Os criminosos usaram a técnica de credential stuffing (ou preenchimento de credenciais, em português). Ela consiste em reutilizar dados de outros vazamentos em outros serviços. Segundo a empresa, seu sistema de segurança não foi comprometido.

A 23andMe recomenda ativar a autenticação de dois fatores. Outra boa prática de segurança é não repetir senhas em diferentes sites.

Com informações: Wired, 23andMe

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.